Firefox, Edge y Safari, los navegadores más inseguros del Pwn2Own 2018

Durante la celebración del evento Pwn2Own 2018, los populares a la vez que extendidos en todo el mundo, navegadores de Internet Microsoft Edge, Firefox y Safari, fueron los objetivos preferidos por los «hackers de guante blanco» asistentes.
Y es que en los tiempos que corren, todo lo relacionado con los navegadores web, adquiere una especial trascendencia cuando se refiere a la seguridad, como sucede en el mencionado Pwn2Own. Pues bien, este año Richard Zhu fue el que inició la ejecución de un exploit de “Windows kernel Elevation of Privilege” o EoP, dirigido a la propuesta de Mozilla, Firefox, rompiendo la seguridad del software en su primer intento.
Con todo ello lo que logró fue una escritura fuera de límites OOB en el propio navegador, lo que propició un desbordamiento de memoria en el kernel de Windows, algo que le proporcionó al «hacker de guante blanco» un premio de 50.000 dólares. Hay que tener en cuenta que el mismo Richard Zhu ya recibió 120.000 dólares en la edición del año en Pwn2Own.
Al mismo tiempo el software de navegación web Safari de Apple, fue el siguiente objetivo en la lista. Esta vez Markus Gaasedelen, Nick Burnett y Patrick Biernat de Ret2 Systems, fueron los que lograron comprometer el navegador en el cuarto intento con un EoP en el núcleo de macOS. Al contrario de lo que sucedió en el caso anterior, el concurso requiere que los hackeos exitosos sean demostrados en un máximo de tres intentos, por lo que estos no fueron seleccionados para recibir un premio.
Pwn2Own 2018 deja en evidencia la seguridad de algunos navegadores web
Sin embargo sí que pueden afirmar que, en su lugar, el nuevo error detectado fue inmediatamente revelado a Apple y será corregido con una actualización del software en poco tiempo. Siguiendo con Safari, este fue hackeado más rápido por Alex Plaskett, Georgi Geshev y Fabi Beterke de los laboratorios MWR, quienes lograron romper la seguridad del navegador con un desbordamiento de búfer de pila para obtener permisos de ejecución de código. Por todo ello el equipo ganó un premio de 55.000 dólares tras su exitoso ataque.
De este modo podemos afirmar que Microsoft Edge, Apple Safari y Mozilla Firefox han sido hackeados durante el último concurso Pwn2Own de este año, por lo que se esperan actualizaciones en breve para los tres navegadores con el fin de solucionar estos fallos cuanto antes.
Eso sí, hay que tener en cuenta que todas las vulnerabilidades se revelan de forma privada a las empresas implicadas, por lo que a continuación estas comienzan el desarrollo de los correspondientes parches para todo el mundo.